Re: [FUG-BR] Vulnerabilidades no PHP
RATIFICANDO: - Original Message - From: Patrick Tracanelli [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, December 03, 2008 10:23 AM Subject: Re: [FUG-BR] Vulnerabilidades no PHP Adicionando informações: O software é o phpBB, que costuma ter 1 bug sério por semana e uns 40 menos sérios no mesmo período. Sim dependendo de qual a versao do phpBB pode ser possivel php injection; aparemente foi usado sql injection Verdade, assim como o tal do 'Joomla', que é largamente utilizado por 'programadores 'php. apenas. Se o primeiro caso for possivel qualquer coisa que o usuario que roda o Apache (normalmente www no FreeBSD) puder escrever, pode comprometer seu ambiente, especialmente se voce nao isola o PHP por segmento no webserver (doc_root, open_basedir, safe_mode, etc). Sim, caso fosse um php injection o 'invasor' teria as permissões do arquivo no qual o httpd subiu, e poderia sim, causar danos sérios aos outros sites. O tal, poderia ainda subir outros aplicativos (backdoors, script para envio de spams, etc) com sucesso, caso as regras de firewall no gw desta máquina assim permitissem. O invasor teria as permissões do USUÁRIO e não do ARQUIVO. Escrevi errado na hora, risos. Varredura com Nessus vai ajudar, e portaudit localmente tambem. Tem tambem o rats pra auditoria de codigo; se possivel use com os XML que a Zend oferece que ai tem um mundo de testes. Após isto, recomendo o uso de um 'rootkit verifier', como o chkrootkit ou rootkithunter. Apenas por precaução. - breno bf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Olá Breno, Obrigado pelas informações! Já passei os dois aplicativos e não encontrei nenhum rootkit. Att, Marcus Breno BF escreveu: - Original Message - From: Patrick Tracanelli [1][EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) [2]freebsd@fug.com.br Sent: Wednesday, December 03, 2008 10:23 AM Subject: Re: [FUG-BR] Vulnerabilidades no PHP Adicionando informações: O software é o phpBB, que costuma ter 1 bug sério por semana e uns 40 menos sérios no mesmo período. Sim dependendo de qual a versao do phpBB pode ser possivel php injection; aparemente foi usado sql injection Verdade, assim como o tal do 'Joomla', que é largamente utilizado por 'programadores 'php. apenas. Se o primeiro caso for possivel qualquer coisa que o usuario que roda o Apache (normalmente www no FreeBSD) puder escrever, pode comprometer seu ambiente, especialmente se voce nao isola o PHP por segmento no webserver (doc_root, open_basedir, safe_mode, etc). Sim, caso fosse um php injection o 'invasor' teria as permissões do arquivo no qual o httpd subiu, e poderia sim, causar danos sérios aos outros sites. O tal, poderia ainda subir outros aplicativos (backdoors, script para envio de spams, etc) com sucesso, caso as regras de firewall no gw desta máquina assim permitissem. Varredura com Nessus vai ajudar, e portaudit localmente tambem. Tem tambem o rats pra auditoria de codigo; se possivel use com os XML que a Zend oferece que ai tem um mundo de testes. Após isto, recomendo o uso de um 'rootkit verifier', como o chkrootkit ou rootkithunter. Apenas por precaução. - breno bf - Histórico: [3]http://www.fug.com.br/historico/html/freebsd/ Sair da lista: [4]https://www.fug.com.br/mailman/listinfo/freebsd References 1. mailto:[EMAIL PROTECTED] 2. mailto:freebsd@fug.com.br 3. http://www.fug.com.br/historico/html/freebsd/ 4. https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
- Original Message - From: Marcus Lahr [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Thursday, December 04, 2008 10:55 AM Subject: Re: [FUG-BR] Vulnerabilidades no PHP Olá Breno, Obrigado pelas informações! Já passei os dois aplicativos e não encontrei nenhum rootkit. Att, Marcus Breno BF escreveu: -- Breno, So lembrando do nosso amigo snort+ossec (IDS-IPS) alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:WEB-PHP phpbb quick-reply.php access; flow:established,to_server; uricontent:/quick-reply.php; reference:bugtraq,6173; classtype:web-application-activity; sid:1968; rev:1;) alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:WEB-PHP PHPBB viewforum.php access; flow:to_server,established; uricontent:/viewforum.php; nocase; reference:bugtraq,9865; reference:bugtraq,9866; reference:nessus,12093; classtype:web-application-activity; sid:2566; rev:4;) alert tcp $EXTERNAL_NET any - $HTTP_SERVERS $HTTP_PORTS (msg:WEB-PHP phpBB privmsg.php access; flow:to_server,established; uricontent:/privmsg.php; reference:bugtraq,6634; classtype:web-application-activity; sid:2078; rev:2;) Abraço --- Wesley Miranda FreeBSD Consult DTI - Departamento de Tecnologia da Informação Tel - (31) 2526 8616 (31) 9426 4404 [EMAIL PROTECTED] www.freebsdconsult.com.br - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
o problema esta na vunerabilidade deste aqui Powered by phpBB Tem muitos furos.. qual seria a versão ? 2008/12/3 Marcus Lahr [EMAIL PROTECTED]: Senhores, bom dia! Dentro do servidor q administro, existe um fórum de alguns professores que recentemente foi atacado. Parece muito com a ação de algum SPAMMER, segue o link em questão: http://www.iel.unicamp.br/cefiel/alfaletras/forum/viewforum.php?f=2 Acredito que isso tenha acontecido por alguma vulnerabilidade na aplicação do fórum. Estou tentando um contato com o bolsista responsável pelo fórum para saber qual aplicativo ele utiliza. Mas minha pergunta é a seguinte, isso pode estar comprometendo os outros sites do meu servidor?? Vocês conhecem algum bom aplicativo para testes de vulnerabilidades no server e em especial em aplicações PHP?? Obrigado, Marcus - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Essa mudança foi logo apos a sua migração para o FreeBSD ?? ou você migrou justamente por isso ?? O problema como a cristina falou esta na aplicação phpBB é muito cheios de vunerabilidades.. http://www.vupen.com/english/searchengine.php -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Ratificando o e-mail anterior.. Esses ataque foi logo apos a sua migração para o FreeBSD ?? ou você migrou justamente por isso ?? O problema como a cristina falou esta na aplicação phpBB é muito cheios de vunerabilidades.. http://www.vupen.com/english/searchengine.php -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Cristina e Márcio, Realmente a versão do PhPBB Instalado pelo bolsista está desatualizada. Já notifiquei e pedi par atualizar imediatamente. Marcio, Sempre usei o FreeBSD aqui no meu webserver pela sua segurança, mas não posso garantir a segurança de aplicações que alguns usuários joga no servidor =/ mantunes escreveu: Ratificando o e-mail anterior.. Esses ataque foi logo apos a sua migração para o FreeBSD ?? ou você migrou justamente por isso ?? O problema como a cristina falou esta na aplicação phpBB é muito cheios de vunerabilidades.. http://www.vupen.com/english/searchengine.php - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Marcus Lahr escreveu: Senhores, bom dia! Dentro do servidor q administro, existe um fórum de alguns professores que recentemente foi atacado. Parece muito com a ação de algum SPAMMER, segue o link em questão: http://www.iel.unicamp.br/cefiel/alfaletras/forum/viewforum.php?f=2 Acredito que isso tenha acontecido por alguma vulnerabilidade na aplicação do fórum. Estou tentando um contato com o bolsista responsável pelo fórum para saber qual aplicativo ele utiliza. Mas minha pergunta é a seguinte, isso pode estar comprometendo os outros sites do meu servidor?? Vocês conhecem algum bom aplicativo para testes de vulnerabilidades no server e em especial em aplicações PHP?? Obrigado, Marcus - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd O software é o phpBB, que costuma ter 1 bug sério por semana e uns 40 menos sérios no mesmo período. Sim dependendo de qual a versao do phpBB pode ser possivel php injection; aparemente foi usado sql injection apenas. Se o primeiro caso for possivel qualquer coisa que o usuario que roda o Apache (normalmente www no FreeBSD) puder escrever, pode comprometer seu ambiente, especialmente se voce nao isola o PHP por segmento no webserver (doc_root, open_basedir, safe_mode, etc). Varredura com Nessus vai ajudar, e portaudit localmente tambem. Tem tambem o rats pra auditoria de codigo; se possivel use com os XML que a Zend oferece que ai tem um mundo de testes. -- Patrick Tracanelli FreeBSD Brasil LTDA. Tel.: (31) 3516-0800 [EMAIL PROTECTED] http://www.freebsdbrasil.com.br Long live Hanin Elias, Kim Deal! - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Foi só por curiosidade.. http://uptime.netcraft.com/up/graph/?host=www.iel.unicamp.br o sistema operacional nao tem nada haver com as vunerabilidades dos aplicativos.. -- Marcio Antunes Powered by FreeBSD == * Windows: Where do you want to go tomorrow? * Linux: Where do you want to go today? * FreeBSD: Are you, guys, comming or what? - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
Problema resume-se na versão do PHPBB, pois o FreeBSD, por si só já é bastante seguro e o PHP também. Solicite ao administrador do fórum um upgrade de versão, principalmente se o fórum estiver usando plugins (www.milw0rom.com e pesquise por phpbb). Ideal é ativar mod_security também. - http://littleoak.wordpress.com --- Para inutilidades, humor e dicas. http://www.libphp.net - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
Re: [FUG-BR] Vulnerabilidades no PHP
- Original Message - From: Patrick Tracanelli [EMAIL PROTECTED] To: Lista Brasileira de Discussão sobre FreeBSD (FUG-BR) freebsd@fug.com.br Sent: Wednesday, December 03, 2008 10:23 AM Subject: Re: [FUG-BR] Vulnerabilidades no PHP Adicionando informações: O software é o phpBB, que costuma ter 1 bug sério por semana e uns 40 menos sérios no mesmo período. Sim dependendo de qual a versao do phpBB pode ser possivel php injection; aparemente foi usado sql injection Verdade, assim como o tal do 'Joomla', que é largamente utilizado por 'programadores 'php. apenas. Se o primeiro caso for possivel qualquer coisa que o usuario que roda o Apache (normalmente www no FreeBSD) puder escrever, pode comprometer seu ambiente, especialmente se voce nao isola o PHP por segmento no webserver (doc_root, open_basedir, safe_mode, etc). Sim, caso fosse um php injection o 'invasor' teria as permissões do arquivo no qual o httpd subiu, e poderia sim, causar danos sérios aos outros sites. O tal, poderia ainda subir outros aplicativos (backdoors, script para envio de spams, etc) com sucesso, caso as regras de firewall no gw desta máquina assim permitissem. Varredura com Nessus vai ajudar, e portaudit localmente tambem. Tem tambem o rats pra auditoria de codigo; se possivel use com os XML que a Zend oferece que ai tem um mundo de testes. Após isto, recomendo o uso de um 'rootkit verifier', como o chkrootkit ou rootkithunter. Apenas por precaução. - breno bf - Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd